Seguridad que no depende de la suerte.
Aislamiento por contenedor por sitio, plano de control firmado HMAC, copias de seguridad cifradas, SSL automático — cada afirmación aquí corresponde a un componente real de infraestructura en producción, no a una lista de marketing.
prueba gratis · todos los primitivos de seguridad incluidos en cada plan
Una postura que puede verificar, no suponer.
Cada sitio expone su estado de seguridad actual en el panel — estado TLS, última copia de seguridad exitosa, último parche de seguridad, tasa de inicios de sesión fallidos, bots de IA permitidos. Sin misterios, sin tareas cron ocultas.
- 12:04:22TLS renewal/ acme order completedok
- 12:03:51Backupr2://yovale-backups/site-87 okok
- 12:03:18WP coreauto-patch 6.9.2 appliedok
- 12:02:44Login protectionblocked 12 attempts on wp-loginok
- 12:02:09WAFCloudflare rule wp-xmlrpc enabledok
La seguridad del alojamiento compartido es una lista de deseos.
En la mayoría de los hostings WordPress compartidos, la seguridad consiste en una página de configuración WAF, una copia de seguridad opcional y un plugin de análisis de malware que olvidaste instalar. No existe aislamiento real entre sitios — el plugin comprometido de tu vecino es tu problema.
Los hostings gestionados cobran $25–$50/mes por envolver la misma arquitectura de forma más amigable y luego venden las partes realmente útiles (copias hors site, staging, protección de inicio de sesión, análisis de malware) como opciones adicionales.
Yovale no vende la seguridad como un nivel de funcionalidades. El aislamiento por contenedor, las copias cifradas, la protección de inicio de sesión, el plano de control firmado HMAC y el programa de divulgación forman parte de cada plan desde $149/año. La postura descrita a continuación es la misma que enviamos a cada cliente.
Cinco primitivos, todos activos por defecto.
Cada tarjeta aquí representa un componente real de infraestructura en producción, no un compromiso de hoja de ruta. Cuando un primitivo es operado por un tercero (Cloudflare, Let's Encrypt), se nombra.
- 0101aislamiento
Un contenedor Docker por sitio
Cada sitio WordPress se ejecuta en su propio contenedor Docker con sistema de archivos aislado, workers PHP-FPM dedicados, memoria y CPU acotadas. Un compromiso en un sitio no alcanza a otro.
runtime aislado - 0202edge
TLS automático a través de Traefik
Los certificados de Let's Encrypt se emiten y renuevan automáticamente por Traefik en cada dominio que añadas. HTTP/2 y HTTP/3 activos por defecto. Sin renovación manual, sin sorpresas de vencimiento.
emisión + renovación automática - 0303plano de control
Plano de control firmado HMAC
Cada llamada entre el panel y el agente VPS está firmada con un secreto HMAC por servidor almacenado cifrado en la base de datos. El agente rechaza las llamadas no firmadas; el panel rechaza las respuestas no verificadas.
secretos por servidor - 0404copias de seguridad
Copias de seguridad hors site cifradas
Copias diarias de sitio y base de datos a Cloudflare R2 con cifrado AES-256 en reposo. Retención de 30 días en Starter, 90 días en Growth, 365 días en Business. Restauración con un clic desde cualquier punto conservado.
AES-256, R2 - 0505wordpress
Protección de inicio de sesión y WAF
Protección contra fuerza bruta en wp-login, bloqueo automático de bots maliciosos conocidos, reglas WAF de Cloudflare ajustadas a los patrones de amenaza de WordPress y aplicación automática de parches de seguridad del núcleo de WordPress.
WAF optimizado WP
Lo que un hosting WordPress seguro debería incluir por defecto.
stack de seguridad · cómo encaja todo
Tres capas, cada sitio, cada plan.
El stack es idéntico en Starter y Business. Lo único que cambia según el nivel tarifario es la duración de retención de copias. Todo lo demás — aislamiento, TLS, HMAC, protección de inicio de sesión, WAF — es igual en todos lados.
Cloudflare gestiona DDoS, WAF y la lista de bots de IA permitidos en el edge global. Traefik en cada VPS gestiona la terminación TLS, HTTP/3 y el enrutamiento de solicitudes hacia los contenedores por sitio.
Cada sitio vive en su propio contenedor Docker con memoria acotada, workers PHP-FPM dedicados, sistema de archivos aislado y su propio contenedor MariaDB. WP-CLI, hooks de actualización automática y cron se ejecutan dentro de este límite.
Un agente FastAPI en cada VPS ejecuta el aprovisionamiento, las copias de seguridad, SSL y los cambios de configuración PHP. El panel emite llamadas firmadas HMAC; el agente verifica antes de actuar. Los secretos están cifrados en reposo en la base de datos del panel.
La seguridad no es un nivel. Es el producto.
Cada plan incluye la postura de seguridad completa descrita arriba. La tarificación solo cambia la duración de retención de copias y el número de sitios. Los niveles de seguridad adicionales no son la forma en que se vende Yovale.
Starter, 2 sitios. Postura de seguridad completa. Copias retenidas 30 días. Growth y Business extienden la retención a 90 y 365 días respectivamente.
Lea también la parte contractual.
Primitivos de seguridad, página por página.
Lo que los compradores conscientes de la seguridad preguntan primero.
¿Cómo se aísla un sitio de otro en el mismo VPS?+
Cada sitio tiene su propio contenedor Docker con su propio sistema de archivos, su propio pool PHP-FPM, su propio contenedor MariaDB y su propia memoria acotada. El límite del kernel de Linux es el aislamiento. No hay runtime PHP compartido entre sitios.
¿Dónde se almacenan las copias de seguridad y están cifradas?+
Las copias diarias se almacenan en Cloudflare R2 con cifrado AES-256 en reposo. Las claves de cifrado se gestionan según el contrato estándar de gestión de claves de R2. La retención de copias es de 30 días en Starter, 90 días en Growth, 365 días en Business.
¿Yovale tiene un programa de divulgación de vulnerabilidades?+
Sí. Envíe un informe a security@yovale.com. Respondemos a los informes de divulgación dentro de 5 días hábiles y no emprendemos acciones legales contra investigadores de buena fe que siguen prácticas de divulgación responsable. El momento de la divulgación pública se coordina; mencionamos a los reporteros en el changelog a menos que prefieran lo contrario.
¿Está disponible la autenticación de dos factores en el panel?+
La 2FA basada en TOTP está disponible en cada cuenta del panel y es obligatoria para cuentas con alcance administrativo. Agréguela en Cuenta → Seguridad.
¿Cómo se autentican las llamadas al plano de control?+
Cada VPS tiene su propio secreto HMAC, cifrado en reposo en la instancia Supabase del panel. El panel firma cada llamada al agente con ese secreto; el agente rechaza las llamadas no firmadas o no verificadas. No hay tokens bearer compartidos entre servidores.
¿Qué ocurre si se divulga una CVE contra el núcleo de WordPress?+
Las versiones de seguridad del núcleo de WordPress se aplican automáticamente en toda la flota en pocas horas tras la divulgación. No requerimos acción del cliente para los parches de seguridad del núcleo. Las actualizaciones de temas y plugins permanecen bajo control del cliente porque pueden romper sitios; las actualizaciones disponibles se muestran en el panel.
¿Dónde puedo leer más detalles contractuales?+
En el Acuerdo de Procesamiento de Datos y el Acuerdo de Licencia de Usuario Final enlazados en el pie de página. El DPA cubre subprocesadores, medidas de seguridad, plazos de notificación de brechas y transferencias internacionales.
Migre un sitio y compruebe la postura usted mismo.
Siete minutos de migración, siete días de prueba. Cada primitivo de esta página está activo en el primer sitio que aprovisione — nada que activar, sin ventas adicionales.